SIM swapping - uwaga na niebezpieczną metodę działania oszustów

Przejęcie kontroli nad kontami bankowości elektronicznej, profilami w mediach społecznościowych czy firmową stroną internetową - to tylko niektóre potencjalne skutki przechwycenia przez hakerów karty SIM. Jak się okazuje, do przeprowadzenia całej operacji przestępcy potrzebują naprawdę niewiele. Co potrzeba? Wystarczy prawdziwe imię i nazwisko oraz numer telefonu osoby, którą chcą okraść. W większości przypadków takie dane bez trudu znaleźć mogą w mediach społecznościowych. 

W przeprowadzonym przez przedstawicieli ESET w Wielkiej Brytanii eksperymencie występująca w roli "przestępcy" osoba skontaktowała się z operatorem sieci, w której zarejestrowana była karta SIM "ofiary". W rozmowie z działem obsługi klienta poinformowała o rzekomej kradzieży telefonu oraz chęci uzyskania kopii karty SIM. Do uwiarygodnienia swojej tożsamości musiała jednak podać dwie cyfry z numeru PIN. Numer PIN "ofiary" eksperymentu zawierał cyfry wchodzące w skład daty urodzin członka jej rodziny, którą można było ustalić na podstawie postów z mediów społecznościowych. 

- Wielu użytkowników, aby ułatwić sobie życie, stosuje jeden, łatwy do zapamiętania numer PIN. Nierzadko jest on związany z ważnymi dla danej osoby datami, na przykład rokiem urodzin. To woda na młyn dla przestępców. Z jednej strony wygoda użytkownika w podejściu do zarządzania hasłami, a z drugiej nieostrożne dzielenie się prywatnością w mediach społecznościowych to główne czynniki, które znacząco ułatwiają przestępcom przejmowanie naszych osobistych danych - mówi Kamil Sadkowski, starszy analityk zagrożeń ESET.

Po pozytywnej weryfikacji przeprowadzający test specjalista podał szczegółowy - oczywiście zmyślony - opis w jaki sposób telefon został skradziony oraz informację o zakupie nowej karty SIM, która wymagała aktywacji. Wobec pozytywnego przejścia procesu weryfikacji tożsamości operator dokonał stosownej zmiany i numer telefonu zaatakowanej osoby stał się własnością nowego użytkownika. Na tym etapie "ofiara" zauważyłaby tylko, że zanikł sygnał sieciowy ismsy nie trafiają na jej telefon. Nadal miałaby dostęp do Internetu, o ile korzystałaby z Wi-Fi. W kolejnych krokach, korzystając m.in. z uwierzytelniania dwuetapowego opartego na wiadomościach SMS, "przestępca" mógł uzyskać dostęp do konta bankowego ofiary, profili w mediach społecznościowych czy jej firmowej strony internetowej.

Istnieją trzy główne sposoby udaremnienia ataków polegających na zamianie karty SIM.

- Nigdy nie używajmy w kodach PIN lub hasłach danych powiązanych z nami np. dat urodzin naszych lub członków rodziny.

- Nie udostępniajmy w mediach społecznościowych zbyt osobistych informacji i zweryfikujmy kategorie osób, które mogą zobaczyć nasze wpisy.

- Tam, gdzie to możliwe, korzystajmy z uwierzytelniania wieloetapowego, zwłaszcza w oparciu o aplikację zainstalowaną na telefonie (bezpieczniejsza opcja niż kody jednorazowe w wiadomościach SMS) lub klucz sprzętowy (bezpieczniejsza opcja niż dwie poprzednie).

Co robić, jeśli podejrzewamy atak?

W sytuacji gdy telefon lub karta SIM są wykorzystywane w usługach bankowych i dojdzie do zdarzeń takich, jak na przykład kradzież, zaginięcie telefonu lub karty SIM, nietypowe działanie telefonu spowodowane jego zawirusowaniem lub zhakowaniem, otrzymywania podejrzanych komunikatów typu ,,usługa niedostępna’’ lub ,,błąd karty SIM’’, czy informacji o niezlecanych zmianach na koncie abonenckim u operatora komórkowego, klient powinien natychmiast skontaktować z Działem Obsługi Klienta, a jego pracownicy podejmą stosowne działania i pomogą w wyjaśnieniu sytuacji.

Koniecznie też trzeba skontaktować się ze swoim bankiem i upewnić, czy nikt nie dokonał zmian na koncie bankowym oraz czy nie zostały zlecone żadne podejrzane transakcje bankowe oraz zalecić działania, które pozwolą na zabezpieczenie konta i znajdujących się na nim pieniędzy.